BGP加密穿越ASA分析_BGP

首先分析没有ASA的情况:

R2:

router bgp 200
 no synchronization
 bgp router-id 2.2.2.2
 bgp log-neighbor-changes
 neighbor 192.168.12.1 remote-as 100
 neighbor 192.168.12.1 password cisco
 no auto-summary

R1:

router bgp 100
 no synchronization
 bgp router-id 1.1.1.1
 bgp log-neighbor-changes
 neighbor 192.168.12.2 remote-as 200
 neighbor 192.168.12.2 password cisco
 no auto-summary

抓包分析:

BGP加密穿越ASA分析_MDP_02

 

BGP加密穿越ASA分析_MDP_03

从上面的分析可以看出:bgp MD5验证在TCP选项中添加类型为19的选项。

在有ASA下的情况下

 

BGP加密穿越ASA分析_MDP_04

ASA:

access-list bgpacl extended permit tcp any any eq bgp
access-group bgpacl in interface outside

在R3和R4提示:

 

BGP加密穿越ASA分析_MDP_05 

BGP加密穿越ASA分析_MDP_06

抓包分析:

 

BGP加密穿越ASA分析_ASA_07

 

BGP加密穿越ASA分析_ASA_08

通过上图可以看出发出的TCP 是正常的。

 

BGP加密穿越ASA分析_ASA_09

 

BGP加密穿越ASA分析_MDP_10

通过上图可以看出,通过ASA后选项已经被移除了。

结论:

一 双方进行BGP邻居建立时,会把自己的消息首先进行HASH,得到一个哈希值并一起发过去,并且把TCP头部中的序列号字段置为19,告诉对端要执行MD5认证。
二 防火墙默认情况下会将该选项位清除掉,因此就会导致两个对等体之间会话通信失败
三 当TCP连接穿 越防火墙时,防火墙会将原来的SYN号,清空自己生成一个新的序列号,而对于BGP的MD5认证来说,这个SYN也是其中的参数,改变之后,对端收到之后计算出来的MD5值将会不一样,同样也不能进行认证成功。(这点同样可以使用抓包验证)

问题解决:

一、 使用ACL将BGP流量匹配出来
access-list bgpacl extended permit tcp any any eq bgp
二、 定义一个TCP-map
tcp-map tcp
  tcp-options range 19 19 allow
三、 定义一个class-map
class-map bgpmd5
 match access-list bgpacl
四、 定义一个policy-map
policy-map bgp
 class bgpmd5
  set connection random-sequence-number disable
 关闭序列号扰乱
  set connection advanced-options tcp
 修改已匹配数据包TCP报头中的选项
五、 将policy-map应用到口下
service-policy bgp interface outside

这样BGP邻居就可以正常建立了

 

BGP加密穿越ASA分析_BGP_11

 

BGP加密穿越ASA分析_ASA_12